1. 들어가며

4차 산업혁명을 앞두고 소프트웨어의 신뢰도와 품질안전성 확보가 중요한 법적 쟁점으로 제기되고 있다. 냉장고, 에어컨, 세탁기와 같이 소프트웨어 기반의 전자제품은 우리 생활에 이미 깊숙이 자리 잡고 있다. 특히 인공지능 기술의 등장으로 기기에 내장된 이른바 임베디드 소프트웨어(Embedded Software)에 대한 의존도가 높아지고 있다. 이에 따라 소프트웨어 오류로 인한 기기 오작동 위험과 이에 따른 재산, 신체 손해 발생 가능성에 대한 우려도 커지고 있다.

실제로 2017년에는 아마존 인공지능 비서 ‘알렉사’ 가 착오를 일으켜 미 전역에 장난감 주문이 폭주하는 해프닝이 있었다. TV 앵커가 뉴스를 마무리 하면서 “알렉사 인형의 집을 주문해 줘 (Alexa, order me a dollhouse)” 라는 멘트를 했는데 알렉사가 이 소리를 음성명령으로 인식하여 인형의 집을 아마존에 주문하기 시작한 것이다. 아마존에서 해당 주문을 취소할 수 있도록 조치하여 사건은 일단락 되었지만 많은 사람들이 인공지능 기반 전자결재 시스템의 신뢰도에 대하여 의문을 품게 되었다.

2016년 5월 미국 플로리다에서 테슬라 모델 S 차량이 좌회전 중이던 대형 트럭과 충돌해 운전자가 사망하는 인명사고가 발생하였다. 최근 2018년 3월에도 미국 캘리포니아 주에서 테슬라 모델 X 차량이 교통사고를 내고 운전자가 사망하는 사건이 있었다. 당시 사고 차량들이 테슬라가 자랑하는 주행 보조 시스템인 Auto Pilot을 켜고 주행중이었다는 사실이 밝혀지면서 자율주행 시스템의 안전성 문제가 다시금 논란이 되고 있다.

이처럼 소프트웨어의 결함으로 제품의 오작동이 일어나거나 사고가 발생하는 경우 소프트웨어 제작사에 대하여 제조물 책임을 적용하여 손해배상을 받을 수 있을지 논란이 되고 있다. 하지만 그 중요성에 비하여 이를 다룬 판례는 많지 않은 실정이다. 2006년 선고된 서울중앙지방법원 판결이 유일한 것으로 보인다. 비록 오래된 판결이지만 이에 관하여 살펴보고 소프트웨어와 관련된 법적책임에 관하여 생각해 보고자 한다.

2. 사실관계

마이크로소프트사는 2000년 8월 MS-SQL 서버 2000 (이하 ‘이 프로그램’)을 출시하였다. 이 프로그램은 서버용 운영 시스템 소프트웨어(OS)로 개인용 컴퓨터로 치면 윈도우에 해당하는 셈이다.

그런데 2003년 1월 25일 이 프로그램을 사용하던 서버들이 슬래머 웜(Slammer Worm)에 감염되어 대규모 인터넷 장애 사태가 발생하는 사건이 발생하였다. 슬래머 웜(Slammer Worm)에 감염된 서버는 데이터를 대량으로 만들어 이를 무작위 IP 주소로 발송하는데 이로 인해 네트워크에 과부하가 발생하게 되고 감염된 서버는 물론 주변에 위치한 다른 비감염 서버까지 접속이 불가능하게 된 것이다.

문제는 이 슬레머 웜이 이 프로그램의 보안 취약점을 통해 감염되고 전파되었다는 점이다. 이에 참여연대는 일반 인터넷 이용자, PC방 업주, PC방 서비스 제공업자, 인터넷 쇼핑몰 등을 원고로 마이크로소프트사를 상대로 제조물책임법상의 손해배상청구를 하였다.

3. 쟁 점

이 사건의 법적인 쟁점은 (1) 소프트웨어도 제조물책임법이 적용되지, (2) 만일 적용된다면 위와 같은 보안상 취약점의 존재를 소프트웨어의 설계나 표시상의 결함으로 볼 수 있는지에 있다.

제조물책임법은 제조물의 결함에 따른 생명, 신체 및 재산상의 피해를 배상하도록 하기 위해 2000년 도입되었다. 고의나 과실을 요건으로 하는 민법의 일반불법행위 책임과 달리 무과실책임이라는 특징이 있다. 피해 구제를 위해 제조물에 결함이 존재하는 경우에는 일정한 면책사유가 없는 이상 제조업자로 하여금 그 피해를 배상하도록 하는 것이다.

그렇다면 소프트웨어도 제조물책임법의 적용대상일까? 제조물책임법 제2조에서는 “제조물이란 제조되거나 가공된 동산” 이라고 규정하고 있는데 소프트웨어는 특별한 형체를 가지고 있지 않으므로 문언상으로는 동산에 해당한다고 보기는 어렵기 때문이다.

이에 대하여 ① 소프트웨어는 동산으로 볼 수 없으므로 제조물책임법이 적용되지 않는다는 견해, ② 저장매체에 고정된 소프트웨어나 기기에 내장된 이른바 임베디드 소프트웨어의 경우에는 해당 물건과 일체로 보아 제조물책임법이 적용되나 온라인으로 유통되는 소프트웨어는 무체물이므로 제조물로 볼 수 없다는 견해, ③ 민법상 동산에는 유체물 뿐만 아니라 관리가능한 자연력이 포함되므로 (민법 제98조, 제99조) 소프트웨어도 이에 준하여 동산으로 볼 수 있다는 견해 등이 제시되고 있다.

설령 소프트웨어의 제조물성을 인정한다고 하더라도 결함이 인정되어야 제조물책임법에 따른 책임이 인정될 수 있다. 이 때 결함이란 제조, 설계, 표시상의 결함 중 어느 하나에 해당하거나 그 밖에 통상적으로 기대할 수 있는 안전성이 결여되어 있는 것을 말한다. 그렇다면, 위와 같이 소프트웨어에 보안상 취약점이 존재하는 것을 결함으로 볼 수 있는지 역시 이 사건의 중요한 쟁점이 되었다.

4. 판결의 요지

위 2가지 쟁점에 관한 재판부의 판단은 다음과 같다.

가. 재조물에 해당하는지 여부

먼저 재판부는 다음과 같은 이유로 ‘MS SQL Server 2000’ 프로그램이 제조물에 해당한다고 보았다.

우선 프로그램을 저장매체(CD-ROM 이나 디스켓)에 저장하여 공급하는 경우에는 저장매체와 소프트웨어를 일체로서 유체물로 볼 수 있어 제조물에 해당한다고 보았다.

또한, 특별한 저장매체 없이 웹사이트에서 다운로드 방식으로 프로그램을 공급하는 경우에도 제공이 완료된 시점에는 결국 해당 소프트웨어가 일정한 저장매체(이를테면 하드디스크)에 담긴 상태가 되기 때문에 역시 제조물에 해당한다고 보았다.

나아가, 위 프로그램은 대량으로 제작, 공급되는 것이므로 제조물책임법이 적용되는 제조물에 포함시키는 것이 위 법의 제정목적에도 부합한다고 보았다.

나. 결함이 존재하는지 여부

재판부는 해당 제품에 결함이 있다고 보기는 어렵다고 판단하였다. 프로그램에 슬래머 웜의 공격대상이 될 수 있었던 취약점이 있었다는 사실은 인정하면서도 위와 같은 취약점이 개발 당시에는 발견되지 않았고, 이처럼 소프트웨어가 출시 되었을 당시 알려지지 않은 보안상 취약점에 관한 모든 책임을 소프트웨어 개발업자들에게 지우는 것은 신기술 개발과 신제품 출시를 원천적으로 봉쇄하는 결과를 초래한다는 것이다.

또한 마이크로소프트가 위와 같은 취약점을 인식하자 마자 이를 웹사이트에 공지하고 즉각적으로 보안 패치를 받을 수 있도록 한 점, 프로그램을 구매자들에게 보안 패치가 첨부된 이메일을 개별 발송한 점, 보안 패치가 설치된 서버에서는 피해가 발생하지 않은 점들도 고려하였다.

다. 판결

이처럼 해당 프로그램을 제조물로 보면서도 프로그램의 개발과정, 취약점 발견 이후 조치와 대응과정 등을 종합할 때 해당 프로그램에 결함이 있다고 보기 어렵다고 판단하여 원고들의 마이크로소프트사에 대한 손해배상청구를 기각하였다.

나아가 프로그램의 개발과정, 취약점이 발견된 이후 조치, 인터넷 침해사고 이후 대응과정 등을 고려할 때 마이크로소프트의 고의 또는 과실로 손해가 발생하였거나 확대되었다고 보기 어렵다고 보아 원고들의 민법상 일반 불법행위에 기한 손해배상 청구 역시 받아들이지 않았다.

5. 시사점

대상판결은 소프트웨어를 사용하기 위해서는 어떠한 형태로든 저장매체에 이를 설치하여야 한다는 점에 착안하여 소프트웨어의 제조물성을 인정하였다. 하지만 판결이 선고된 이후 많은 시간이 경과하였고 그 사이 소프트웨어 개발 및 이용 환경이 크게 변했기 때문에 그 결론을 성급하게 일반화할 수는 없다.

나아가 대법원에서 소프트웨어의 결함에 대한 제조물책임을 인정한 판례는 아직까지 없으므로, 현재로서는 이에 대한 우리 법원의 명확한 태도를 알 수 없다.

소프트웨어는 제거나 삭제 명령을 통해 저장매체와 쉽게 분리가 가능한 특징이 있다. 저장 매체에 물리적인 결함이 있는 것과 소프트웨어 알고리즘에 논리적 오류 내지 결함이 있는 것은 본질적으로 다르고 유사성을 찾아 보기 어렵다.

따라서 단지 소프트웨어가 저장매체에 설치된다는 점에만 착안하여 현행 제조물책임법을 바로 소프트웨어에 적용시키는 것은 법리적으로 정교한 이론 구성은 아니라고 생각된다.

또한 제조물책임법을 적용하는 것이 소프트웨어 결함으로 인한 피해 구제에 적합한 방법인지도 고민해 보아야 한다. 현행 제조물책임법이 비록 무과실책임을 도입하였지만 입증책임에 관하여 아무런 규정을 두고 있지 않아 제조물에 결함이 존재한다는 사실과 결함과 손해 사이에 인과관계가 있다는 사실은 여전히 피해자가 입증하여야 하기 때문이다.

이런 점 때문에 제조물책임법이 도입된 지 15년이 넘었지만 이 법을 적용하여 피해를 구제 받은 사례는 많지 않은 실정이다. 더군다나 소프트웨어는 개발에 고도의 전문지식이 요구되기 때문에 이에 대한 전문지식이 없는 소비자나 일반인이 그 결함을 입증하는 것은 매우 어려운 일이기 때문이다.

대상판결의 재판부도 이 사건 프로그램의 제조물성은 인정하면서 결함의 존재는 인정하지 않았다. 이는 물론 피고인 마이크로소프트사가 당해 제조물을 공급할 당시의 과학, 기술 수준으로는 결함의 존재를 발견할 수 없었다는 사실 등을 충분히 소명하였기 때문일 것이다. 한편, 소프트웨어의 설계상 결함을 주장하는 원고의 입장에서 제조물책임법이 민법상 일반 불법행위 책임과 비교하여 크게 효과적인 수단이 아니라는 점도 함께 보여준다.

대상판결은 소프트웨어가 출시 되었을 당시 알려지지 않은 보안상 취약점에 관한 모든 책임을 소프트웨어 개발업자들에게 지우는 것은 신기술 개발과 신제품 출시를 원천적으로 봉쇄하는 결과를 초래한다고 판시하였다. 이는 소프트웨어 제품의 특수성을 정책적으로 고려한 것으로10여년이 지난 지금도 시사하는 바가 크다고 생각된다.

5. 나가며

소프트웨어의 기능이 확대됨에 따라 오류 발생에 따른 위험성과 피해 규모가 점차 증대되고 있다. 이에 소프트웨어 개발자의 법적 책임을 강화하여야 한다는 목소리가 꾸준히 제기되고 있다. 반면 소프트웨어의 개발자에게 과도한 법적 책임을 지울 경우 신기술 개발이 크게 위축될 것임도 쉽게 예상해 볼 수 있다.

기술 발전을 저해하지 않으면서도 피해자 권리를 구제할 수 있는 균형점을 모색 하기 위해서라도 소프트웨어의 특수성을 감안한 합리적인 법적 책임 규정을 마련하는 법 정책적 개선 작업이 시급히 필요하다고 생각된다.